【正文】 括切斷網絡連接、記錄事件和報警等。IDS 分類入侵檢測通過對入侵行為的過程與特征進行研究，使安全系統(tǒng)對入侵事件和入侵過程作出實時響應。入侵檢測系統(tǒng)按其輸入數(shù)據(jù)的來源來看，可以分為以下兩種：：其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，一般只能檢測該主機上發(fā)生的入侵。：其輸入數(shù)據(jù)來源于網絡的信息流，能夠檢測該網段上發(fā)生的網絡入侵。IDS 功能結構總體來講，入侵檢測系統(tǒng)的功能有：1．監(jiān)視用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權操作。2．檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞。3．對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。4．檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。如計算和比較文件系統(tǒng)的校驗和能夠實時對檢測到的入侵行為進行反應。. 天闐(tian)黑客入侵檢測系統(tǒng)功能特點網絡版天闐是基于網絡的入侵檢測系統(tǒng)，以下稱為天闐網絡入侵檢測系統(tǒng)。天闐網絡入侵檢測系統(tǒng)是通過監(jiān)視網絡中的數(shù)據(jù)包來發(fā)現(xiàn)黑客的入侵企圖，它可以運行在一臺單獨的計算機上監(jiān)視整個網絡的信息。天闐網絡入侵檢測系統(tǒng)是一種分布式的網絡入侵檢測系統(tǒng)，可以適用于31 / 59任何規(guī)模的網絡。無論是小型局域網還是跨地區(qū)的城際網絡，都可以自由，靈活的來部署天闐。天闐網絡入侵檢測系統(tǒng)由兩部分構成，控制中心和網絡探測器?？刂浦行募淳W絡探測器的前端操作界面。一個網絡探測器可以監(jiān)測一個共享網絡，一個控制中心可以管理一個或多個網絡探測器，組成局部獨立的預警網絡（見下圖） 。網 絡 1 網 絡 2 網 絡 n多個局部預警網絡可以相互聯(lián)系，按照一定的規(guī)則構建成一個多層次，分級管理的大規(guī)模的預警網絡。網 絡 網 絡 網 絡 分 控 制 中 心 網 絡 網 絡 總 控 制 中 心網絡探測器是預警系統(tǒng)中檢測部分的核心。通過對網絡進行實時監(jiān)聽，收集網絡上的信息，并對這些信息進行實時的分析，看是否對被保護的網絡構32 / 59成威脅，然后按照預先定義的策略自動報警，阻斷和記錄日志等?？刂浦行氖穷A警系統(tǒng)的管理和配置工具，同時，它也接收來自網絡探測器的實時報警信息，控制中心還提供了將實時報警信息轉發(fā)至郵件信箱的功能?？刂浦行目梢跃庉?，修改和分發(fā)下屬網絡探測器和下屬分控制中心的策略定義，給下屬網絡探測器升級事件庫。系統(tǒng)特點164。 內置了多種預定義策略，并允許用戶添加修改策略；164。 同防火墻進行聯(lián)合行動，阻斷任何非法連接；164。 實時顯示分析結果；164。 開放式事件特征庫，任何人都可以自行定義和添加特征事件；164。 包含一個報表分析軟件，事后可對日志進行二次分析；164。 網絡流量分析，可以幫助分析網絡故障；164。 提供固化版本的網絡探測器，即插即用，方便安裝；系統(tǒng)運行環(huán)境164。 天闐主機版探測引擎：Solaris 7 (SPARC)控制中心：Windows 2022164。 天闐網絡版探測引擎：RedHat Linux 控制中心：windows 2022針對華能電力網絡安全系統(tǒng)，我們采用 CA 公司的 Kill2022 產品進行網絡防毒。. 病毒介紹隨著電腦的普及，幾乎所有的電腦用戶都已知道“計算機病毒”這一名詞。對于大多數(shù)計算機用戶來說，談到“計算機病毒”似乎覺得它深不可測，無法琢磨。而對于企業(yè)用戶，由于辦公自動化及電子商務的逐步深入的應用，企業(yè)對于計算機網絡的依賴越來越強。這使得企業(yè)的辦公效率進一步加快，給企業(yè)33 / 59帶來了巨大的效益。但是，同時計算機病毒及黑客也給企業(yè)帶來了極大的風險。試想如果由于病毒或黑客的襲擊，使得整個企業(yè)辦公網絡癱瘓、數(shù)據(jù)庫無法進行查詢或重要數(shù)據(jù)丟失、重要文件無法使用、計算機通信無法進行甚至重要客戶資料被黑客竊取等情況發(fā)生，將給企業(yè)帶來多大的損失。所以企業(yè)網絡的防病毒及黑客更是比單機防病毒更為重要。以下對病毒作一簡要介紹。. 病毒歷史自從 1946 年第一臺馮諾依曼型計算機 ENIAC 出世以來，計算機已被應用到人類社會的各個領域。然而，1988 年發(fā)生在美國的“蠕蟲病毒”事件，給計算機技術的發(fā)展罩上了一層陰影。蠕蟲病毒是由美國 CORNELL 大學研究生莫里斯編寫。雖然并無惡意，但在當時， “蠕蟲”在 INTERNET 上大肆傳染，使得數(shù)千臺連網的計算機停止運行，并造成巨額損失，成為一時的輿論焦點。 在國內，最初引起人們注意的病毒是 80 年代末出現(xiàn)的“黑色星期五” ，“米氏病毒” ， “小球病毒”等。因當時軟件種類不多，用戶之間的軟件交流較為頻繁且反病毒軟件并不普及，造成病毒的廣泛流行。后來出現(xiàn)的 word 宏病毒及 win95 下的 CIH 病毒，使人們對病毒的認識更加深了一步。最初對病毒理論的構思可追溯到科幻小說。在 70 年代美國作家雷恩出版的《P1 的青春》 一書中構思了一種能夠自我復制，利用通信進行傳播的計算機程序，并稱之為計算機病毒。. 病毒定義“計算機病毒 ”為什么叫做病毒。首先，與醫(yī)學上的“病毒”不同，它不是天然存在的，是某些人利用計算機軟、硬件所固有的脆弱性，編制具有特殊功能的程序。由于它與生物醫(yī)學上的“病毒”同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學上的“病毒”概念引申而來。 從廣義上定義，凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。依據(jù)此定義，諸如邏輯炸彈，蠕蟲等均可稱為計算機病毒。在34 / 59國內，專家和研究者對計算機病毒也做過不盡相同的定義，但一直沒有公認的明確定義。直至 1994 年 2 月 18 日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》 ，在《條例》第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。 ”此定義具有法律性、權威性。 （此節(jié)內容摘自《計算機安全管理與實用技術》一書）. 病毒的產生那么究竟它是如何產生的呢？其過程可分為：程序設計傳播潛伏觸發(fā)、運行 實行攻擊。究其產生的原因不外乎以下幾種： 開個玩笑，一個惡作劇。某些愛好計算機并對計算機技術精通的人士為了炫耀自己的高超技術和智慧，憑借對軟硬件的深入了解，編制這些特殊的程序。這些程序通過載體傳播出去后，在一定條件下被觸發(fā)。如顯示一些動畫，播放一段音樂，或提一些智力問答題目等，其目的無非是自我表現(xiàn)一下。這類病毒一般都是良性的，不會有破壞操作。 產生于個別人的報復心理。每個人都處于社會環(huán)境中，但總有人對社會不滿或受到不公證的待遇。如果這種情況發(fā)生在一個編程高手身上，那么他有可能會編制一些危險的程序。在國外有這樣的事例：某公司職員在職期間編制了一段代碼隱藏在其公司的系統(tǒng)中，一旦檢測到他的名字在工資報表中刪除，該程序立即發(fā)作，破壞整個系統(tǒng)。類似案例在國內亦出現(xiàn)過。用于版權保護。計算機發(fā)展初期，由于在法律上對于軟件版權保護還沒有象今天這樣完善。很多商業(yè)軟件被非法復制，有些開發(fā)商為了保護自己的利益制作了一些特殊程序，附在產品中。如：巴基斯坦病毒，其制作者是為了追蹤那些非法拷貝他們產品的用戶。用于這種目的的病毒目前已不多見。用于特殊目的。某組織或個人為達到特殊目的，對政府機構、單位的特殊系統(tǒng)進行宣傳或破壞?；蛴糜谲娛履康?。. 病毒特征這種特殊程序有以下幾種特征： 傳染性是病毒的基本特征。在生物界，通過傳染病毒從一個生物體擴散到另一個生物體。在適當?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執(zhí)行，它會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺機子上迅速擴散，其中的35 / 59大量文件（一般是可執(zhí)行文件）會被感染。而被感染的文件又成了新的傳染源，再與其他機器進行數(shù)據(jù)交換或通過網絡接觸，病毒會繼續(xù)進行傳染。 正常的計算機程序一般是不會將自身的代碼強行連接到其它程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病毒可通過各種可能的渠道，如軟盤、計算機網絡去傳染其它的計算機。當你在一臺機器上發(fā)現(xiàn)了病毒時，往往曾在這臺計算機上用過的軟盤已感染上了病毒，而與這臺機器相聯(lián)網的其它計算機也許也被該病毒侵染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。 未經授權而執(zhí)行。一般正常的程序是由用戶調用，再由系統(tǒng)分配資源，完成用戶交給的任務。其目的對用戶是可見的、透明的。而病毒具有正常程序的一切特性，它隱藏再正常程序中，當用戶調用正常程序時竊取到系統(tǒng)的控制權，先于正常程序執(zhí)行，病毒的動作、目的對用戶時未知的，是未經用戶允許的。 隱蔽性。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護措施的情況下，計算機病毒程序取得系統(tǒng)控制權后，可以在很短的時間里傳染大量程序。而且受到傳染后，計算機系統(tǒng)通常仍能正常運行，使用戶不會感到任何異常。試想，如果病毒在傳染到計算機上之后，機器馬上無法正常運行，那么它本身便無法繼續(xù)進行傳染了。正是由于隱蔽性，計算機病毒得以在用戶沒有察覺的情況下擴散到上百萬臺計算機中。 大部分的病毒的代碼之所以設計得非常短小，也是為了隱藏。病毒一般只有幾百或 1k字節(jié)，而 PC 機對 DOS 文件的存取速度可達每秒幾百 KB 以上，所以病毒轉瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中，使人非常不易被察覺。 潛伏性。大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊。只有這樣它才可進行廣泛地傳播。如“PETER2”在每年 2 月 27 日會提三個問題，答錯后會將硬盤加密。著名的“黑色星期五”在逢 13 號的星期五發(fā)作。國內的“上海一號”會在每年三、六、九月的 13 日發(fā)作。當然，最令人難忘的便是 26 日發(fā)作的 CIH。這些病毒在平時會隱藏得很好，只有在發(fā)作日才會露出本來面目。破壞性。任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應用程序產生程度不同的影響。輕者會降低計算機工作效率，占用系統(tǒng)資源，重者可導致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫面或出點音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統(tǒng)資源。這類病毒較多，如：GENP、小球、WBOOT 等。惡性病毒則有明確得目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤，有的對數(shù)據(jù)造成不可挽回的破壞。這也反映出病毒編制者的險惡用心。. 病毒分類從第一個病毒出世以來，究竟世界上有多少種病毒，說法不一。無論多少種，病毒的數(shù)量仍在不斷增加。據(jù)國外統(tǒng)計，計算機病毒以 10 種/周的速度遞增，另據(jù)我國公安部統(tǒng)計，國內以 4 種/月的速度遞增。如此多的種類，做一下分類可更好地了解它們。36 / 59 按傳染方式分為：引導型病毒、文件型病毒和混合型病毒。 文件型病毒一般只傳染磁盤上的可執(zhí)行文件（COM，EXE） 。在用戶調用染毒的可執(zhí)行文件時，病毒首先被運行，然后病毒駐留內存伺機傳染其他文件或直接傳染其他文件。其特點是附著于正常程序文件，成為程序文件的一個外殼或部件。這是較為常見的傳染方式。 混合型病毒兼有以上兩種病毒的特點，既染引導區(qū)又染文件，因此擴大了這種病毒的傳染途徑（如 97 年國內流行較廣的“TPVO3783（SPY） ”） 。 按連接方式分為：源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒。 源碼病毒較為少見，亦難以編寫。因為它要攻擊高級語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時剛剛生成的可執(zhí)行文件便已經帶毒了。 入侵型病毒可用自身代替正常程序種的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強。一般情況下也難以被發(fā)現(xiàn)，清除起來也較困難。 操作系統(tǒng)病毒可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。外殼病毒將自身附在正常程序的開頭或結尾，相當于給正常程序加了個外殼。大部份的文件型病毒都屬于這一類。新興一族：宏病毒。宏病毒是近兩年才出現(xiàn)的，如分類它可算做文件型。在此對其專門介紹。按破壞性可分為：良性病毒，惡性病毒。. 為何使用 CA 公司的 Kill2022 網絡防病毒KILL 作為全球第二大軟件企業(yè) CA 公司與中國公安部金辰公司合作推出的全中文防病毒產品。他具有世界領先的反病毒技術：主動內核技術（ActiveK）技術，Kill 通過全方位的管理、多種報警機制、完整的病毒報告、遠程服務器支持，幫助管理員更好的實施防病毒工作。同時 Kill 的技術支持中心由合資企業(yè)負責，可以獨立針對中國流行的病毒進行及時的更新與服務。KILL 是一個用于 Windows NT 網絡的功能強大的新一代網絡防病毒產品。37 / 59KILL 系列產品包括保護您的 Windows NT 服務器、 Windows 95/9Windows NT Workstation、Wi